В современном мире, где удалённая работа становится нормой для многих компаний, обеспечение кибербезопасности соединений через Протокол удалённого рабочего стола (RDP) приобретает критическую важность. Пандемия COVID-19 катализировала переход к удалённой работе, что привело к значительному увеличению числа кибератак, направленных на инфраструктуры удалённого доступа. Несмотря на общее осознание рисков, связанных с использованием RDP, многие организации всё ещё испытывают сложности с настройкой адекватной защиты своих систем.

Андрей Толстиков, руководитель направления Информационная безопасность ГК "Форус", подготовил ряд рекомендаций, направленных на укрепление безопасности RDP и защиту корпоративных сетей от потенциальных угроз. Среди ключевых мер – усиление политики паролей, внедрение многофакторной аутентификации, ограничение доступа к портам и регулярное обновление системы патчами безопасности.

Усиление учётных данных пользователя

Слабые или повторно используемые пароли являются одной из наиболее частых уязвимостей, с которыми сталкиваются системы RDP. Такие пароли значительно упрощают задачу злоумышленников, стремящихся получить доступ к корпоративным сетям для распространения вредоносного программного обеспечения. К сожалению, многие компании не придают должного значения управлению паролями, что делает их удалённые подключения уязвимыми для атак методом подбора или использования украденных учётных данных. Это становится основной причиной обращения клиентов к нам за помощью после произошедших инцидентов.

Чтобы противостоять угрозам, связанным со слабыми учётными данными, крайне важно усилить защиту имён пользователей и паролей. Меры включают в себя создание сложных и уникальных паролей, внедрение многофакторной аутентификации и регулярное обновление учётных данных для предотвращения несанкционированного доступа. Строгая политика в отношении паролей значительно повышает уровень безопасности систем RDP, усложняя проведение атак методом подбора и минимизируя риски несанкционированного доступа.

Применение нестандартных правил для именования учётных записей может скрыть важную организационную или личную информацию о сотрудниках, делая имена пользователей менее очевидными для киберпреступников. Это усложняет процесс подбора имён пользователей, адресов электронной почты и паролей, тем самым повышая общую безопасность системы.

Внедрение системы единого входа (Single Sign-On, SSO) значительно упрощает процесс управления учётными записями пользователей в различных системах и приложениях, одновременно укрепляя защиту паролей и обеспечивая возможность использования многофакторной аутентификации. Это не только повышает удобство для пользователей, но и усиливает общую безопасность, минимизируя количество потенциальных точек входа для злоумышленников.

Ограничение доступа к портам

Неограниченный доступ к портам, особенно к порту 3389, который традиционно используется для подключений RDP, значительно увеличивает риск кибератак. Чтобы минимизировать этот риск, крайне важно не разрешать подключения RDP через открытый интернет без строгой политики паролей и многофакторной аутентификации.

Рекомендуется использовать защищённые методы для удалённого доступа и избегать использования открытого интернета для подключений RDP. Злоумышленники могут целенаправленно искать уязвимости в этом порту для проведения атак. Использование VPN обеспечивает создание безопасного туннеля для запросов и блокирует любые попытки подключения, не прошедшие через него, тем самым предотвращая атаки на порт 3389. Также настройка брандмауэра компании для ограничения трафика к порту 3389, за исключением разрешённых IP-адресов, дополнительно усиливает защиту.

Противодействие атакам методом перебора паролей

Атаки методом подбора паролей представляют собой попытки угадать пароль до тех пор, пока не будет найдена правильная комбинация. Успешно получив доступ к серверу, злоумышленники могут отключать защитное программное обеспечение, удалять журналы событий, отключать резервное копирование, загружать вредоносное ПО, переписывать бэкапы, несанкционированно передавать данные или запускать программы для майнинга криптовалюты и вымогательского ПО. Чтобы предотвратить такие атаки, необходимо ограничить количество попыток входа для каждого пользователя и фиксировать как неудачные, так и успешные попытки входа, чтобы отслеживать подозрительную активность.

Обновление и установка патчей

Многие серьёзные уязвимости RDP уже были обнаружены и устранены, однако из-за отсутствия должного внимания к своевременной установке патчей, они продолжают эксплуатироваться злоумышленниками. Регулярное использование последних патчей и обновлений критически важно для защиты от таких уязвимостей. Также рекомендуем использовать сканеры уязвимостей для обнаружения потенциальных слабых мест в инфраструктуре вашей компании. Это позволит вам оперативно реагировать на новые угрозы и предотвращать возможные атаки до того, как они причинят вред.

Управление привилегиями пользователей

Чрезмерные привилегии пользователей могут стать серьёзной угрозой для безопасности системы. Важно провести тщательную оценку необходимости предоставления внешнего доступа к RDP и ограничить доступ удалённых пользователей только к тем данным и ресурсам, которые им действительно необходимы для работы. Разработка и внедрение внутренней документации по политике удалённого доступа и основам кибербезопасности, а также её доведение до сведения всех пользователей, поможет минимизировать риски. Удаление локальных учётных записей администраторов из списка доступа к RDP существенно снижает вероятность успешных атак через удалённый доступ и повышает общую безопасность системы.

Конечная точка доступа – это слабое звено

Контроль за конечными точками доступа является одним из наиболее важных аспектов обеспечения безопасности. Если пользователь подключается к корпоративной инфраструктуре с личного компьютера, на котором может быть установлено небезопасное программное обеспечение, это может аннулировать все предыдущие меры безопасности. Включение многофакторной аутентификации (MFA) добавляет дополнительный уровень защиты, требуя от пользователей подтверждения входа через дополнительный токен безопасности. Кроме того, использование загрузки с внешнего носителя изолированной операционной системы для подключения к корпоративной сети может значительно повысить безопасность удалённого доступа.

Постоянное обучение и повышение осведомлённости

Важным аспектом защиты от киберугроз является постоянное обучение и повышение уровня осведомлённости сотрудников о принципах кибербезопасности и актуальных угрозах. Регулярное проведение тренингов, вебинаров и семинаров по кибербезопасности поможет сотрудникам лучше понимать риски и избегать распространённых ошибок, которые могут привести к компрометации системы. Включение в программу обучения информации о фишинговых атаках, безопасном использовании паролей и методах защиты личных и корпоративных данных сделает вашу команду более подготовленной к противодействию киберугрозам.

В заключении

Протокол удалённого рабочего стола (RDP) остаётся ключевым инструментом для обеспечения удалённого доступа к устройствам в корпоративной сети, но его использование сопряжено с определёнными рисками. Важно не только осознавать эти риски, но и активно действовать для их минимизации, применяя комплексный подход к безопасности. Регулярный контроль и аудит сети, а также применение рекомендованных мер по усилению безопасности помогут защитить вашу сеть от атак через RDP и обеспечить безопасность корпоративных данных.

На фоне военного конфликта России и Украины произошло объединение хакерских группировок с целью нанесения максимального урона по Российским ресурсам. Под ударом оказались сайты, терминальные сервера, IP телефония и другие сервисы. Крупные компании могут себе позволить сдерживать натиск средствами своих специалистов, но более мелкие организации и индивидуальные предприниматели оказались в серьезной опасности. 

Так как атаки довольно крупномасштабные, то мы настоятельно рекомендуем выполнить ряд действий, которые могли бы обезопасить вашу информацию:

1. В обязательном порядке выполняйте резервное копирование ваших данных на внешние носители. В идеале использовать бэкап сервера с обратным подключением. Не знаете как это делается? Спросите, мы подскажем!
2. В настройках вашего роутера измените стандартный порт 3389 на любой другой. Это временная мера, но важная, если атаки на ваши сервера уже идут. 
3. Если вам известны IP адреса или диапазоны IP адресов ваших внешних пользователей, то добавьте их в "Белый список".
4. Не используйте функцию Демилитаризованных зон (DMZ хост).
5. По возможности используйте VPN

Для того, чтобы узнать, находится ли ваш терминальный сервер под атакой, вы можете на компьютере с установленным Thinstuff XP/VS Terminals Server, Microsoft RDS или другим сервером терминалов:

• Запустить консоль [Win+R] и в открывшемся окне ввести cmd. Выполните эту команду с правами администратора.
• В появившемся окне введите команду netstat -a сформируется список текущих соединений. 
• Проверьте все адреса имеющие соединение на порт 3389 (если у вас другой. то проверьте на него).

Если общее число соединений больше, чем активных пользователей или в списке присутствуют IP адреса не принадлежащие вашим пользователям, то это явно указывает на то, что к вашему серверу пытаются получить доступ.  

Это общая инструкция и в каждом отдельном случае нужно принимать более детальные меры. Тем не менее, вовремя обнаруженная атака поможет сохранить вашу информацию и избежать ее утечки на третью сторону. 

Если у вас появились вопросы или вы не знаете как вам быть в конкретно вашей ситуации, то вы всегда можете обратиться в службу технической поддержки и мы постараемся вам помочь не смотря на то, что это не касается терминальных серверов напрямую. +7 (8442) 45-94-00

Сегодня компания Microsoft выпустила KB4497165 для Windows 10 версии 1909 и 1903. Поскольку обновления для системы безопасности являются обязательными в Windows 10, вполне вероятно, что это обновление уже есть на вашей странице Центра обновления Windows или даже установлено.

Согласно информации Microsoft, KB4497165 является обновлением микрокода Intel для Windows 10 версий 1909 и 1903. Первоначально оно было выпущено в январе, и, похоже, снова выходит обновление микрокода, и нет подробной информации о том, почему обновление было переиздано. Возможно, что Microsoft еще не обновила свою документацию, чтобы показать новые исправления или улучшения, включенные в данное KB.

На странице базы знаний Microsoft отмечает, что пользователи должны устанавливать это конкретное обновление только для некоторых процессоров Intel, но пользователи сообщают, что KB4497165 также появилось на ПК с процессорами AMD. Если вы видите обновление на компьютере не от Intel, с вашей стороны никаких действий не требуется, и вы можете не устанавливать его. Если вы уже установили обновление, вам не нужно его удалять. Если это будет сделано, то данное обновление будет предложено снова через Центр обновления Windows.

Не все увидят данное обновление безопасности. Например, если ваш ПК еще не обновлено ​​до обновления November 2019 Update / May 2019 Update, то этот KB не отобразится. Microsoft говорит, что обновление микрокода Windows 10 устанавливается, как и любое другое обновление, и Windows автоматически загружает обновленный микрокод через загрузчик ОС, чтобы исправить обнаруженную уязвимость.

Обновление May 2020 Update не за горами

Также ожидается, что Microsoft начнет выпускать обновление Windows 10 May 2019 Update с 26 по 28 мая. Согласно источникам, обновление будет развернуто поэтапно, и вы можете скачать его, вручную проверив наличие обновлений 28 мая.

Microsoft уже сделала обновление May 2019 Update доступным для подписчиков MSDN, что указывает на то, что публичный запуск уже не за горами.

Источник